比特幣病毒肆虐全球，共享單車、智能家居…也被「黑」的體無完膚

對於黑客來說，不管在世界的哪個角落，一根網線，就可以控制所有連接到他雲平台的智能設備。

文 | 宋長樂

5月12日爆發的比特幣病毒事件所帶來的連帶效應依然在網路中肆虐，這場爆發在包括英國、義大利、俄羅斯等全球國家範圍內的勒索病毒攻擊，只有支付高額贖金才能恢復，一旦逾期未支付，資料將被永久銷毀。

根據《每日郵報》稱，至少19家位於英格蘭和蘇格蘭的NHS所屬醫療機構遭到網路攻擊，這些機構包括醫院和全科醫生診所。

有專家表示，隨著周一工作日的到來，有更多電腦開機，勒索病毒會捲土重來。

但事實上，在這個黑客潛行的網路世界，只要聯網的設備，基本上可以斷定是不安全的。然而就在比特幣病毒肆虐的同時，一群來自全球範圍內的白帽黑客卻聚在了2017國際安全極客大賽極棒年中賽，在一場驚心動魄的破解大賽正在進行中。

作為全球首次海上安全極客大賽，GeekPwn挑戰智能領域一切漏洞，覆蓋智能出行，智能家居、智能手機、智能手錶等智能生活的所有領域。

共享單車很火？黑客來給你降個溫

五顏六色的共享單車，聚集在中國各大城市的街頭巷尾，這種火爆從2016年開始一直持續至今，而且熱度絲毫未減，反而持續升溫。但如今，共享單車企業們要注意了，因為街上騎行的每一輛車都可能已經成為黑客的目標。

作為本次參賽選手中唯一的女黑客「tyy」，就將攻破目標鎖定在了共享單車。比賽現場，「tyy」利用漏洞成功獲取了評委老師的共享單車賬號、餘額、騎行記錄等隱私信息，通過場外連線用評委的共享單車賬號開鎖、騎行消費。

就這樣，在座的評委身體未動，但就這樣莫名其妙穿越去上海騎車了。

女黑客「tyy」破解共享單車

作為非科班出身的選手，「tyy」業餘時間熱愛鑽研安全技術， 用1個月的時間就找到4款共享單車的漏洞，並登上了GeekPwn的舞台。

當然，除了共享單車，與「車」有關的小米平衡車也中槍了。來自安恆海特實驗室的rainman將其攻擊目標鎖定在另一款智能出行設備：小米9號平衡車。這位黑客利用組合漏洞，通過電腦藍牙連接平衡車， 在電腦上運行腳本，就可繞過密碼，通過程序腳本完全遠程控制平衡車，讓其無法移動和關機。

不過選手也表示，這次發現的漏洞適用於無人狀態下，在平衡車上有人時，是無法實現遠程操控的。

你隨身戴的手錶，極有可能是一個竊聽器

其實智能手錶誕生已經多年了，它也一度被資本退至風口浪尖，但是如果你現在正戴著一款智能手錶，那麼極有可能有人正在竊聽你的行蹤。

來自百度的資深安全工程師「小灰灰」在2017國際安全極客大賽極棒年中賽上，揭露了小天才、米家小尋等當前主流兒童智能手錶存在的安全漏洞。這些高危漏洞不僅會造成兒童與家長的敏感信息泄漏，還能被利用進行配置修改、信號劫持，甚至是完全控制。

智能手錶被現場破解，成為竊聽器

小灰灰現場演示了兒童智能手錶存在的安全風險：

第一類攻擊選手利用兒童手錶的各種通訊協議漏洞，成功在電腦端完全操控手錶：比如修改手錶內已存的聯繫人號碼，將父親名字下的手機號替換成自己的手機號、完全偽造成孩子的手錶和家長的APP進行語音互動、任意更改掉手錶綁定的APP；

第二類攻擊是針對移動通訊GSM系統單向認證機制缺陷所發起的信號劫持：孩子撥通手錶上父親的號碼，而接到電話的卻是小灰灰本人。

小灰灰介紹，目前市面上的兒童智能手錶都還只支持2G網路，而移動通信GSM系統設計上存在單向認證機制的缺陷。小灰灰此次正是通過修改 GSM 廣播信道相關參數實現了自動附著，從而能夠實現語音、數據信號的劫持和分析。

今後，GSM 尤其是 GPRS 的中間人方法還會大大拓展包括自動售貨機、共享單車鎖、工業採集設備等一大批智能設備的攻擊面。

除此之外，與智能手錶帶有智能屬性的智能家居也被黑客「一網打盡」了。來自百度安全實驗室的謝海闊、黃正就利用門鎖通信協議漏洞成功在無需物理接觸，無需拆解門鎖的情況下遠程秒破攻破果加智能門鎖，獲得所有開鎖密碼。

值得一提的是，果加智能門鎖是中國目前使用量最大的智能鎖品牌，被多個公寓品牌所使用，其在京東自營店公布其用戶數已超過100萬。

是什麼讓你智能的家完全失控？來自看雪智能硬體小組的選手們通過智能門鈴與雲端的通訊協議漏洞，不僅使智能門鈴響起了「怪聲」，還跨公網接管了一系列智能家居設備。

對於黑客來說，不管在世界的哪個角落，一根網線，就可以控制所有連接到他雲平台的智能設備。

「手機殭屍」，來自網路世界裡的「生化危機」

如果說以上被黑產品，也不足以讓你咋舌，那麼來自騰訊玄武實驗室X興趣小組帶來一種新的移動安全威脅模型Wombie Attack足以讓你刮目相看了。

Wombie Attack技術通過被感染者在地理位置上的移動來實現攻擊擴散，很類似殭屍題材電影的情節，被殭屍咬了的人也變成殭屍，會再去咬其他人。

騰訊玄武實驗室「X興趣小組」

Wombie Attack不但可以實現傳染式攻擊，而且攻擊過程不依賴互聯網，所以甚至無法從網路層面檢測攻擊。選手在現場演示了用一台手機 A入侵附近的手機 B，並將手機 B 改造為新的攻擊者。然後手機 B 在靠近手機 C 時會自動入侵手機 C，並竊取了 C 中的數據。當 B 再次`回到 A 附近時，A 又從 B 上取得了從 C 中竊取的數據。

怎麼樣？來自互聯網，攻擊方式卻毫不依賴互聯網，但隨時可以實施攻擊，獲取你的數據和信息。是不是很可怕？

智能生活的普及，確實給用戶帶來了便利，但同時也給攻擊者開了一扇掌控你的大門，這對於每個網民來說，是多麼痛的領悟。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！